警報: PHP漏洞大曝光, 百萬網站恐受影響
轉載自CNET. 看到這篇會不由自主地想到這裡..
========================================================================
最近有項調查指出最新發現的程式語言漏洞可能會讓上百萬網站門戶大開,安全專家預期專門針對此一漏洞的病蟲隨時會出現。
此一漏洞主要是會出現於使用PHP語言的網站伺服器模組中,此一程式語言多數用於使用公開程式碼軟體的網站,且可讓網站迅速完成網頁設計。
華盛頓大學資深安全工程師David Dittrich表示,雖然此一漏洞的技術層次較高,不容易藉此製造出病蟲,但若有心人士要加以利用也非難事。
上週一位PHP社群會員公布如何侵入使用PHP軟體3.0.10版至4.1.1版網站伺服器的漏洞細節。入侵者若能侵入網站伺服器軟體,即能竄改網頁或執行系統指令。英國網路研究團體Netcraft估計目前網路上約有840萬個網站伺服器使用有漏洞的PHP版本。而其中最容易遭侵入的則有一百萬個網站。
若以此資料估算,PHP漏洞可能產生的危害可能不下於微軟IIS漏洞所引發的紅色警戒病蟲(Code Red),eEye Digital Security首席破解Marc Maiffret如此表示。
他同時指出這類病蟲已經有開始蠢蠢欲動的徵兆。目前安全專家與一些駭客都有收到一支程式即是利用此漏洞癱瘓網站。
不過一位PHP計畫成員Rasmus Lerdorf表示PHP病蟲要入侵其實還沒那麼容易。由於不同版本之間可能承受的損害不一,病毒若要入侵還得先偵測出每一台主機的組成設定,然後才能找出有問題的程式碼。
另外,網站伺服器通常被賦予的權限極少,不是管理者所用的「super user」模式,因此即使病蟲入侵要作怪也不容易。
PHP團體的另一成員Stefan Esser表示這對使用PHP的網站管理員可能較為有利。「PHP是一種開放原始碼計畫,根據我的經驗,使用開放原始碼的用戶通常會比微軟產品用戶來得更有安全觀念。我相信開放原始碼用戶更新速度會比微軟使用者更快,多數重要網站目前多已完成更新了。」
PHP 軟體原來全名為Personal Homepage,後來則逐漸演變成為一種較複雜的語言,其最有名的是LAMP開放原始碼軟體,可讓開發人員輕鬆架設網站,其軟體包括Linux作業系統、Apache網站伺服器、MySQL資料庫、PHP或Python程式語言。
此次被公開的漏洞主要會影響執行Linux或Solaris作業系統的網站,但其中有個漏洞也會影響使用PHP模組3.0.10-3.0.18版本的微軟的作業系統。
書籤